两步验证

部署两步验证

如要设置两步验证 (2SV),您和您的用户都必须执行相应的操作。

第 1 步:通知用户两步验证部署事宜(必要)

部署两步验证之前,请向用户通知贵公司的计划,包括:

  • 介绍两步验证,并说明贵公司使用这种验证方式的原因。
  • 告知用户是否必须启用两步验证。
  • 必要时,告知用户必须在哪个日期之前启用两步验证。
  • 指明哪种两步验证方法是用户必须选择的,而哪种只是推荐方法。

第 2 步:设置基本两步验证(必要)

在 Google 管理控制台中,请选择相应设置,以允许用户启用两步验证。该设置会应用到您的整个顶级单位,而其中可能包含多个网域。

如果顶级单位是在 2016 年 12 月之后创建的,那么管理控制台中默认会启用两步验证设置。对于在较新的顶级单位中创建的帐号,两步验证设置也默认处于启用状态。启用两步验证后,用户就可以设置两步验证方法。

允许顶级单位中的用户启用两步验证

  1. 登录您的 Google 管理控制台

    请使用您的管理员帐号(帐号的后半部分不是“@gmail.com”)登录。

  2. 在管理控制台首页,转到安全 然后 基本设置

    您可能需要点击底部的更多控件,才能在首页看到“安全”。

  3. 两步验证下,选中允许用户启用两步验证
    如此一来,您的顶级单位中的所有用户就都可以启用两步验证并能设置任何两步验证方法。
  4. 点击右下角的保存

让用户注册两步验证

  1. 让用户按照启用两步验证中的说明注册两步验证。
  2. 提供注册两步验证方法的操作说明:

第 3 步:强制执行两步验证(可选)


如果您强制执行两步验证,用户就必须使用这种验证方式。尚未注册两步验证的用户将无法登录自己的帐号。

选择高级两步验证设置

  1. 登录您的 Google 管理控制台

    请使用您的管理员帐号(帐号的后半部分不是“@gmail.com”)登录。

  2. 在管理控制台首页,转到安全 然后 基本设置

    您可能需要点击底部的更多控件,才能在首页看到“安全”。

  3. 两步验证下,确认允许用户启用两步验证复选框是否已选中。如果没有,请将其选中,然后点击保存
  4. 点击前往高级设置页面强制执行两步验证

确认用户是否已注册两步验证

强制执行两步验证之前,请务必确保用户已注册两步验证。尚未注册的用户将无法登录自己的帐号。
  1. 在“高级安全设置”页面的强制执行下方,点击右侧的注册报告
  2. 查看报告,看哪些用户尚未注册。
    此数据最长可能延迟 48 小时。如要查看各位用户的实时两步验证状态,请参阅管理用户的安全设置
  3. 通知尚未注册的用户:他们必须注册,否则可能无法访问自己的帐号。

启用强制执行

为管理员和关键用户强制执行两步验证。请参阅两步验证最佳做法

管理控制台中允许用户启用两步验证的设置会应用到整个顶级单位。不过,您可以选择为整个顶级单位中的用户强制执行两步验证,也可以仅为特定单位部门中的用户强制执行这一验证方式。

  1. 在“高级安全设置”页面左侧,选择要强制执行两步验证的单位部门。
    • 如果不选择单位部门,您的强制执行设置会应用到整个顶级单位。
    • 如果您希望某一单位部门使用与其上级单位相同的设置,请点击右上角的使用继承的设置
  2. 选择何时开始强制执行两步验证:
    • 从以下日期开始启用强制执行 - 从您指定的日期开始强制执行。
    • 立即启用强制执行 - 立即开始强制执行。
  3. 如果您选择从特定日期开始强制执行两步验证,请在日历中点击开始日期。用户登录时,会看到关于注册两步验证的提醒。
  4. 点击保存

防止新用户无法访问自己的帐号

强制执行两步验证时,请为新员工预留一些时间,让他们在系统对其帐号应用强制执行前先注册两步验证。为此,您可以指定一个新用户注册期。在此期间,用户可以仅使用密码登录。
  1. 在“高级安全设置”页面的新用户注册期旁边,选择一个时间段(1 天至 6 个月)。
    新用户首次成功登录后,必须在您设置的这个时间段内注册两步验证。
  2. 点击保存

第 4 步:选择强制执行选项(可选)

选择要强制执行的两步验证方法

强制执行两步验证时,默认的强制执行方法为“不限”。建议您使用安全密钥,因为这是最安全的两步验证方法。请参阅两步验证最佳做法

  1. 在“高级安全设置”页面的允许的两步验证方法下方,选择一种方法:
    • 不限 - 用户可以设置任何两步验证方法。
    • 任何验证码皆可(通过短信或电话接收的除外) - 用户可以设置任何两步验证方法,但使用电话接收两步验证验证码的方法除外。
    • 仅限安全密钥 - 用户必须设置安全密钥。
  2. 点击保存
确保顺利过渡到强制执行政策

当您强制执行两步验证时,未使用兼容的两步验证方法的现有用户在当前会话到期后将无法访问其帐号。您必须帮助他们恢复帐号,他们才能登录。示例场景:

  • ​您将可选两步验证政策更改为强制执行两步验证。
  • ​​您强制执行两步验证,但允许用户选择任何方法。您将两步验证方法改成允许使用任何方法,但使用手机通过短信或语音电话接收两步验证验证码的方法除外。
  • ​​您将可选两步验证政策、允许任何方法或允许除短信或语音电话之外的任何方法更改为:要求安全密钥作为唯一的两步验证方法。

告知用户您计划强制执行两步验证

在设置强制执行政策前,请先告知用户您的计划和强制执行日期。给用户留出时间来添加两步验证方法。对于新员工,请按照“防止新用户无法访问自己的帐号”中的说明设置新用户注册期。

如果用户在强制执行日期前未准备妥当

在强制执行日期之前,可能有些用户还没有设置合适的两步验证方法。您可以将这些用户移至不强制执行两步验证的例外群组中,为这些用户提供额外的注册时间,直到他们可以添加两步验证方法。请参阅避免帐号在强制执行两步验证时遭到锁定

虽然这种解决方法可让您的用户登录其帐号,但并不建议将其作为标准做法,因为这些用户帐号在例外群组中时不受两步验证的保护。

强制执行“任何验证码皆可(通过短信或电话接收的除外)”

如果用户目前可以使用任何两步验证方法,那么可能会有一些用户将短信和语音电话作为其唯一的两步验证方法。通过短信或语音电话接收两步验证验证码时,用户将无法使用之前用过的电话号码登录,也无法添加任何新的电话号码。

如要避免这类用户无法访问自己的帐号,请执行以下操作:

  • 在设置此政策之前,请让用户添加并开始使用其他两步验证方法。同时告知他们,在指定的强制执行日期后,他们将无法在自己的手机上收到两步验证验证码。
  • 使用 login_verification 登录审核活动事件,来跟踪哪些用户在使用通过短信或语音电话接收的两步验证验证码登录帐号。如果 login_challenge_method 参数的值为 idv_preregistered_phone,则表示用户是使用短信或语音电话验证码进行身份验证的。

强制执行“仅限安全密钥”

在强制执行此政策之前,请查看用户的安全设置,以确保他们设置了安全密钥:

  • ​在仅限安全密钥下,点击用户已注册安全密钥以生成用户名单。
  • ​点击名单中的用户,以查看其设置。
允许用户在安全密钥丢失时使用备用验证码
如果您强制规定安全密钥是唯一可接受的两步验证方法,那么丢失了安全密钥的用户在获取新的密钥期间就需要通过其他方式登录。您可以允许用户在指定宽限期内使用备用验证码。
  1. 在“高级安全设置”页面的暂停执行两步验证政策时的宽限期旁边,选择一个时间段(1 天至 1 周)。
    宽限期从备用验证码生成时起算。
  2. 点击保存
如果安全密钥不受支持,请允许使用安全代码
如果您强制使用安全密钥,部分用户可能无法使用某些应用。用户无法使用其 Google 凭据登录在不支持安全密钥的平台上运行的网页应用。这些平台包括移动版 iOS、Safari 和 Internet Explorer。下面是一些示例:
  • 仅在不支持安全密钥的浏览器上运行的公司网页应用
    Priya 在法国工作。她使用仅在 Internet Explorer 8.0 上运行的网页版财务应用。由于强制执行安全密钥,她无法使用自己的 Google 帐号登录该网页应用。
  • iPhone 初始设置
    Nigel 是销售人员。他购买了一部新 iPhone。为了设置 iPhone,他需要在 iPhone 上登录自己的 Google 帐号。但由于 Safari 和移动版 iOS 不支持安全密钥,因此他无法登录帐号,也无法设置 iPhone。

启用安全代码

当平台不支持安全密钥时,您可以允许用户使用特殊的一次性安全代码登录并进行身份验证。用户只能在支持安全密钥的设备上生成此代码。

  1. 在“高级安全设置”页面的允许的两步验证方法 - 仅限安全密钥下方,选择用户进行两步验证时,可使用 https://g.co/sc 的安全代码,代替安全密钥
  2. 点击保存

安全代码的运作方式

安全代码不同于 Google 身份验证器等应用生成的一次性验证码。要生成安全代码,用户需要一台可以使用安全密钥的设备。用户需要轻触安全密钥以生成安全代码。

何时允许使用安全代码

当您强制执行安全密钥,并允许用户在安全密钥不受支持的情况下使用安全代码时。但是,在进行两步验证时,安全代码没有安全密钥那么安全,因此您应只允许需要在不支持安全密钥的平台或应用中工作的用户使用安全代码。

用户体验

在法国工作的 Priya 可以通过以下方式使用在 Internet Explorer 8.0 上运行的网页版财务应用。

  1. Priya 使用她的 Google 凭据登录她的笔记本电脑。
  2. 她将安全密钥插入笔记本电脑的 USB 端口,或点按已插入的安全密钥。
  3. Priya 启动 Internet Explorer 8.0 并尝试登录该财务应用。
  4. 在可以使用安全密钥的设备上,她按照提示获取了一次性安全代码。
  5. Priya 在笔记本电脑上启动了 Chrome 浏览器,并转到 https://g.co/sc。
  6. 她点按了安全密钥并生成了安全代码。
  7. 她复制了安全代码并使用它来完成 Internet Explorer 网页应用的登录。

目前只有 Chrome 和 Firefox 支持安全密钥。一次性安全代码的有效期为 5 分钟。

允许用户在可信设备上不重复进行两步验证

我们不建议您允许用户在可信设备上避开两步验证,除非您的用户经常在设备之间来回切换。

  1. 在“高级安全设置”页面的两步验证频率下方,选择一个选项:
    • 允许用户在两步验证时信任设备 - 当用户在新设备上首次登录时,可以选中信任设备的复选框,并在该设备上跳过两步验证。除非用户清除 Cookie,您重置用户的登录 Cookie 或者用户在自己的帐号中取消信任该设备,否则系统不会再让用户在该设备上进行两步验证。
    • 不允许用户在两步验证时信任设备 - 用户每次登录时都必须进行两步验证。
  2. 点击保存

第 5 步:管理安全密钥(可选)

为用户添加安全密钥

您可以为用户帐号添加安全密钥。如果用户未注册两步验证,那么只要您为其注册安全密钥,用户就会自动注册两步验证。请参阅管理用户的安全设置

 

该内容对您有帮助吗?
您有什么改进建议?